Az iOS 13.6 és az iPadOS 13.6 biztonsági változásjegyzéke

Ez a dokumentum az iOS 13.6 és az iPadOS 13.6 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

iOS 13.6 és iPadOS 13.6

Kiadás dátuma: 2020. július 15.

Audio

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2020-9888: JunDong Xie és Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-9890: JunDong Xie és Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-9891: JunDong Xie és Xingwei Lin (Ant-Financial Light-Year Security Lab)

Bejegyzés frissítve: 2020. augusztus 5.

Audio

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2020-9884: Yu Zhou (@yuzhou6666; 小鸡帮), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2020-9889: anonim kutató, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként, JunDong Xie és Xingwei Lin (Ant-Financial Light-Year Security Lab)

Bejegyzés frissítve: 2020. augusztus 5.

AVEVideoEncoder

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Elhárítottunk egy memóriasérülési hibát a sebezhető kód eltávolításával.

CVE-2020-9907: 08Tc3wBB, a ZecOps közreműködőjeként

Bejegyzés hozzáadva: 2020. július 24., frissítve: 2020. augusztus 31.

Bluetooth

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy szolgáltatásmegtagadási hibát.

CVE-2020-9931: Dennis Heinze (@ttdennis, TU Darmstadt, Secure Mobile Networking Lab)

CoreFoundation

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A helyi felhasználók meg tudtak tekinteni bizalmas jellegű felhasználói információkat.

Leírás: Hiba lépett fel a környezeti változók elemzésekor. Hatékonyabb ellenőrzéssel hárítottuk el a problémát.

CVE-2020-9934: Matt Shockley (linkedin.com/in/shocktop)

Bejegyzés frissítve: 2020. augusztus 5.

CoreGraphics

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.

CVE-2020-9883: anonim kutató, Mickey Jin (Trend Micro)

Bejegyzés hozzáadva 2020. július 24-én, frissítve 2020. december 15-én

Crash Reporter

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások adott esetben ki tudtak törni a sandboxból.

Leírás: Elhárítottunk egy memóriasérülési hibát a sebezhető kód eltávolításával.

CVE-2020-9865: Zhuo Liang (Qihoo 360 Vulcan Team), a 360 BugCloud közreműködőjeként

Crash Reporter

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Előfordult, hogy egy helyi támadó magasabb szintű jogosultságokat tudott szerezni magának.

Leírás: Egy hiba állt fenn a szimbolikus hivatkozások útvonal-érvényesítési logikájában. Hatékonyabb útvonaltisztítással hárítottuk el a problémát.

CVE-2020-9900: Cees Elzinga, Zhongcheng Li (CK01, Zero-dayits Team, Legendsec, Qi'anxin Group)

Bejegyzés hozzáadva 2020. augusztus 5-én, frissítve 2021. december 17-én

FontParser

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2020-9980: Xingwei Lin (Ant Security Light-Year Lab)

Bejegyzés hozzáadva: 2020. szeptember 21., frissítve: 2020. október 19.

GeoServices

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások be tudtak olvasni bizalmas jellegű helyadatokat.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2020-9933: Min (Spark) Zheng és Xiaolong Bai (Alibaba Inc.)

iAP

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A magas hálózati jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni hibás formázású Bluetooth-csomagok segítségével.

Leírás: Beviteli érvényesség-ellenőrzési probléma állt fenn a Bluetooth esetén. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

CVE-2020-9914: Andy Davis (NCC Group)

Bejegyzés frissítve: 2020. július 24.

ImageIO

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2020-27933: Xingwei Lin (Ant-Financial Light-Year Security Lab)

Bejegyzés hozzáadva 2021. március 16.

ImageIO

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Több, puffertúlcsordulást okozó probléma állt fenn az openEXR-ben.

Leírás: Hatékonyabb ellenőrzésekkel több hiba is elhárult az openEXR vonatkozásában.

CVE-2020-11758: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-11759: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-11760: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-11761: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-11762: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-11763: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-11764: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-11765: Xingwei Lin (Ant-Financial Light-Year Security Lab)

Bejegyzés hozzáadva: 2020. szeptember 8.

ImageIO

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2020-9871: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-9872: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-9874: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-9879: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-9936: Mickey Jin (Trend Micro)

CVE-2020-9937: Xingwei Lin (Ant-Financial Light-Year Security Lab)

Bejegyzés frissítve: 2020. augusztus 5.

ImageIO

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.

CVE-2020-9919: Mickey Jin (Trend Micro)

Bejegyzés hozzáadva: 2020. július 24.

ImageIO

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott PDF-fájlok megnyitása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2020-9876: Mickey Jin (Trend Micro)

Bejegyzés hozzáadva: 2020. július 24.

ImageIO

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2020-9873: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-9938: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-9984: anonim kutató

Bejegyzés hozzáadva: 2020. július 24., frissítve: 2020. szeptember 21.

ImageIO

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2020-9877: Xingwei Lin (Ant-Financial Light-Year Security Lab)

Bejegyzés hozzáadva: 2020. augusztus 5.

ImageIO

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy egészszám-túlcsordulást okozó problémát.

CVE-2020-9875: Mickey Jin (Trend Micro)

Bejegyzés hozzáadva: 2020. augusztus 5.

Kernel

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2020-9923: Proteas

Kernel

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A magas hálózati jogosultságú támadóknak lehetőségük adódott aktív kapcsolatokba való beszúrásra VPN-alagutakon belül.

Leírás: Hatékonyabb korlátozásokkal elhárítottunk egy irányítási hibát.

CVE-2019-14899: William J. Tolley, Beau Kujath és Jedidiah R. Crandall

Kernel

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A már kernelszintű kódvégrehajtási jogosultságot szerzett támadók megkerülhették a kernelmemória használatára vonatkozó korlátozásokat.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2020-9909: Brandon Azad (Google Project Zero)

Kernel

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2020-9904: Tielei Wang (Pangu Lab)

Bejegyzés hozzáadva: 2020. július 24.

Kernel

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.

CVE-2020-9863: Xinru Chi (Pangu Lab)

Bejegyzés frissítve: 2020. augusztus 5.

Kernel

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk több, memóriasérüléssel kapcsolatos problémát.

CVE-2020-9892: Andy Nguyen (Google)

Bejegyzés hozzáadva: 2020. július 24.

Kernel

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A rosszindulatú alkalmazások meg tudták állapítani a kernelmemória felépítését.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2020-9902: Xinru Chi és Tielei Wang (Pangu Lab)

Bejegyzés hozzáadva: 2020. augusztus 5.

Kernel

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A távoli támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2020-9905: Raz Mashat (@RazMashat, ZecOps)

Bejegyzés hozzáadva: 2020. augusztus 5.

libxml2

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott XML-fájlok feldolgozásakor váratlan alkalmazásleállásra került sor, vagy tetszőleges programkód végrehajtására nyílt lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2020-9926: megtaláló: OSS-Fuzz

Bejegyzés hozzáadva 2021. március 16.

Mail

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A távoli támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2019-19906

Bejegyzés hozzáadva: 2020. július 24., frissítve: 2020. szeptember 8.

Mail

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Egy rosszindulatú levelezési kiszolgáló felülírhatott tetszőleges levélfájlokat.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2020-9920: YongYue Wang AKA BigChan (Hillstone Networks AF Team)

Bejegyzés hozzáadva: 2020. július 24.

Messages

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Egy iMessage-csoportból eltávolított felhasználó ismét csatlakozni tudott a csoporthoz.

Leírás: Hiba lépett fel az iMessage tapback elemek kezelésekor. További ellenőrzésekkel küszöböltük ki a problémát.

CVE-2020-9885: anonim kutató, Suryansh Mansharamani (WWP High School North, medium.com/@suryanshmansha)

Model I/O

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott USD-fájlok feldolgozása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.

Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.

CVE-2020-9878: Aleksandar Nikolic (Cisco Talos), Holger Fuhrmannek (Deutsche Telekom Security)

CVE-2020-9881: Holger Fuhrmannek (Deutsche Telekom Security)

CVE-2020-9882: Holger Fuhrmannek (Deutsche Telekom Security)

CVE-2020-9940: Holger Fuhrmannek (Deutsche Telekom Security)

CVE-2020-9985: Holger Fuhrmannek (Deutsche Telekom Security)

Bejegyzés frissítve: 2020. szeptember 21.

Model I/O

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott USD-fájlok feldolgozása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.

Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2020-9880: Holger Fuhrmannek (Deutsche Telekom Security)

Bejegyzés hozzáadva: 2020. szeptember 21.

Safari Login AutoFill

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A rosszindulatú támadók elérhették, hogy a Safari rossz tartományhoz javasoljon jelszót.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2020-9903: Nikhil Mittal (@c0d3G33k; Payatu Labs; payatu.com)

Safari Reader

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A Safari Olvasó módjában fennálló probléma miatt a távoli támadók megkerülhették az Azonos eredetre vonatkozó szabályzatot.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2020-9911: Nikhil Mittal (@c0d3G33k; Payatu Labs; payatu.com)

Security

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Egy támadó a rendszergazda által hozzáadott tanúsítvány megosztott kulcsával leutánozhatott egy megbízható webhelyet.

Leírás: Tanúsítvány-ellenőrzési probléma állt fenn a rendszergazda által hozzáadott tanúsítványok feldolgozási folyamatában. A problémát hatékonyabb tanúsítvány-ellenőrzéssel küszöböltük ki.

CVE-2020-9868: Brian Wolff (Asana)

Bejegyzés hozzáadva: 2020. július 24.

sysdiagnose

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Előfordult, hogy egy helyi támadó magasabb szintű jogosultságokat tudott szerezni magának.

Leírás: Egy hiba állt fenn a szimbolikus hivatkozások útvonal-érvényesítési logikájában. Hatékonyabb útvonaltisztítással hárítottuk el a problémát.

CVE-2020-9901: Tim Michaud (@TimGMichaud, Leviathan), Zhongcheng Li (CK01, Zero-dayits Team, Legendsec, Qi'anxin Group)

Bejegyzés hozzáadva 2020. augusztus 5-én, frissítve 2020. augusztus 31-én

WebDAV

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.

Leírás: A jogosultságok megadásának javításával hárítottuk el a problémát.

CVE-2020-9898: Sreejith Krishnan R (@skr0x1C0)

Bejegyzés hozzáadva: 2020. szeptember 8.

WebKit

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2020-9894: 0011, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

WebKit

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása megakadályozhatta a Tartalombiztonsági szabályzat érvényesítését.

Leírás: Egy hozzáférési hiba állt fenn a Tartalombiztonsági szabályzatban.  Hatékonyabb hozzáférés-korlátozással hárítottuk el a problémát.

CVE-2020-9915: Ayoub AIT ELMOKHTAR (Noon)

Bejegyzés frissítve: 2020. július 24.

WebKit

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2020-9893: 0011, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2020-9895: Wen Xu (SSLab, Georgia Tech)

WebKit

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2020-9925: anonim kutató

WebKit

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A rosszindulatú támadók tetszőleges olvasási és írási képesség birtokában megkerülhették a Mutatóhitelesítést.

Leírás: Továbbfejlesztett logikával hárítottunk el több problémát.

CVE-2020-9910: Samuel Groß (Google Project Zero)

WebKit Page Loading

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A rosszindulatú támadók elrejthették az URL-ek célját.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy, az URL-címek Unicode-kódolásával kapcsolatos hibát.

CVE-2020-9916: Rakesh Mane (@RakeshMane10)

WebKit Web Inspector

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: Az URL-címek Webvizsgálóból való kimásolása parancsbeszúrásra adhatott lehetőséget.

Leírás: Parancsbeszúrásra lehetőséget adó hiba állt fenn a Webvizsgálóban. A különleges karakterek hatékonyabb elkerülésével hárítottuk el a problémát.

CVE-2020-9862: Ophir Lojkine (@lovasoa)

WebRTC

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A magas hálózati jogosultságú támadók halommemória-sérülést tudtak előidézni egy általuk létrehozott SCTP-adatfolyam révén.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2020-6514: natashenka (Google Project Zero)

Bejegyzés hozzáadva: 2020. szeptember 21.

Wi-Fi

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A távoli támadók váratlan rendszerleállást tudtak előidézni, illetve sérülést tudtak okozni a kernelmemóriában.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2020-9918: Jianjun Dai (360 Alpha Lab), a 360 BugCloud (bugcloud.360.cn) közreműködőjeként

Wi-Fi

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A távoli támadók váratlan rendszerleállást tudtak előidézni, illetve sérülést tudtak okozni a kernelmemóriában.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2020-9906: Ian Beer (Google Project Zero)

Bejegyzés hozzáadva: 2020. július 24.

Wi-Fi

A következőkhöz érhető el: iPhone 6s és újabb, iPad Air 2 és újabb, iPad mini 4 és újabb, valamint 7. generációs iPod touch.

Érintett terület: A távoli támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2020-9917: Pradeep Deokate (Harman), Stefan Böhrer (Daimler AG, proofnet.de)

Bejegyzés frissítve: 2020. július 24.

További köszönetnyilvánítás

Bluetooth

Köszönjük Andy Davis (NCC Group) segítségét.

CoreFoundation

Köszönjük Bobby Pelletier segítségét.

Bejegyzés hozzáadva: 2020. szeptember 8.

ImageIO

Köszönjük Xingwei Lin (Ant-Financial Light-Year Security Lab) segítségét.

Bejegyzés hozzáadva: 2020. szeptember 21.

Kernel

Köszönjük Brandon Azad (Google Project Zero) segítségét.

USB Audio

Köszönjük Andy Davis (NCC Group) segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: